firefox一直是各位渗透测试必备的利器，这里整理了34款Firefox插件和几款Chrome的插件，其中包含渗透测试、信息收集、代理、加密解密等功能。

 Firefox插件

1：

Firefox的 五星级强力推荐插件之一，不许要多解释

2：

改变客户端的User Agent的一款插件

3：

91ri.org的攻城师们的必备工具，提供了SQL注入和XSS攻击，能够快速对字符串进行各种编码。

4：

监测和分析浏览器与web服务器之间的HTTP流量

5：

即时查看一个网站的HTTP头

6：

查看和修改HTTP/HTTPS头和POST参数

7：

在状态栏显示当前页的IP地址、主机名、ISP、国家和城市等信息。

8：

开放源码的漏洞数据库检索

9:

Packet Storm提供的插件，可以搜索漏洞、工具和exploits等。

10：

搜索Exploit-db信息

11：

在Security Focus上搜索漏洞

12：

在状态栏显示cookie

13:

在状态栏显示HTTP头

14：

Manipulate the application user interface.

15：

在状态栏显示当前SSL/TLS的加密算法和证书

16：

XSS测试扩展

17：

SQL注入测试扩展

18：

查看网站使用的应用程序

19：

发送与Web服务器交互的HTTP请求，并查看输出结果

20：

显示网页上运行的Javascript代码

21：

修改HTTP请求头

22：

代理工具

23：

可以在地址栏或状态栏上显示出当前网站所在国家的国旗，也有更多的其他功能，如：双击国旗可以实现WOT功能；鼠标中键点击是whois功能。当然用户可以在选项里设置快捷键实现诸如复制IP，维基百科查询等功能。

24：

greasemonkey 使你可以向任何网页添加DHTML语句(用户脚本)来改变它们的显示方式。就像CSS可以让你接管网页的样式，而用户脚本(User Script)则可以让你轻易地控制网页设计与交互的任何方面。例如:

* 使页面上显示的 URL 都成为可以直接点击进入的链接。 * 增强网页实用性，使你经常访问的网站更符合你的习惯。 * 绕过网站上经常出现的那些烦人的 Bug。

25：

显示服务器类型、IP地址、域名注册信息等

26：

Websecurify是WEB安全检测软件的Firefox的扩展，可以针对Web应用进行安全评估

27：

搜索XSSed.Com跨站脚本数据库

28：

查看asp.net的iewState

29：

破解MD5、加密/解密工具

30：

显示服务器的IP、地址、PING、Traceroute、RDNS等信息

31：

识别访问的web服务器类型，版本以及IP地址的插件

32：

搜索CIRT.net默认密码数据库。

33：

搜索Snort的IDS规则，做签名开发的应该很有用。

34：

FireCAT (Firefox Catalog of Auditing exTensions) 是一个收集最有效最有用的应用程序安全审计和风险评估工具的列表(这些工具以Firefox插件形式发布的),FireCAT中没有收集的安全工具类型包 括:fuzzer,代理和应用程序扫描器.

Chrome插件

用于检测各类型的XSS漏洞

连接GHDB的扩展程序

Websecurify 是一个强大的跨平台web安全测试工具

用于发现潜在的HPP攻击向量

HTML form fuzz tester. 用于做HTML表单的FUZZ

Website Crawler 网站爬虫

Chrome Extension Exploitation Framework一个基于Chrome渗透测试框架，你可以理解成BeEF的chrome版